Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Pontos de aplicação de filtro de firewall sem estado

Depois de definir o filtro de firewall,você deve aplicá-lo a um ponto de aplicação. Esses pontos de aplicação incluem interfaces lógicas, interfaces físicas, interfaces de roteamento e instâncias de roteamento.

Na maioria dos casos, você pode aplicar um filtro de firewall como um filtro de entrada ou um filtro de saída, ou ambos ao mesmo tempo. Os filtros de entrada são a ação nos pacotes recebidos na interface especificada, enquanto os filtros de saída fazem ação nos pacotes que são transmitidas pela interface especificada.

Normalmente, você aplica um filtro com vários termos a uma única interface lógica,ao tráfego de entrada, ao tráfego de saída ou a ambos. No entanto, há momentos em que você pode querer encadear vários filtros de firewall (com um ou vários termos) e aplicá-los a uma interface. Você usa uma lista de entradas para aplicar vários filtros de firewall ao tráfego de entrada em uma interface. Você usa uma lista de saída para aplicar vários filtros de firewall ao tráfego de saída em uma interface. Você pode incluir até 16 filtros em uma lista de entradas ou uma lista de saída.

Não existe limite para o número de filtros e contadores que você pode definir, mas existem algumas considerações práticas. Mais contadores exigem mais termos, e um grande número de termos pode levar muito tempo para processar durante uma operação de commit. No entanto, filtros com mais de 4.000 termos e contadores foram implementados com sucesso.

Tabela 1 descreve cada ponto ao qual você pode aplicar um filtro de firewall. Para cada ponto de aplicação, a tabela descreve os tipos de filtros de firewall suportados naquele ponto, o nível de hierarquia do roteador (ou switch) no qual o filtro pode ser aplicado e quaisquer limitações específicas da plataforma.

Tabela 1: Resumo de configuração de filtro de firewall sem estado e aplicativo

Tipo de filtro

Ponto de aplicação

Restrições

filtro de firewall sem estado

Configure incluindo a declaração filter filter-name o nível [edit firewall] da hierarquia:

filter filter-name;
Nota:

Caso você não inclua a instrução, o filtro de firewall processa o family tráfego IPv4 por padrão.

Interface lógica

Aplique-se no [edit interfaces interface-name unit unit-number family inet] nível da hierarquia incluindo as ou input filter-nameoutput filter-name declarações:

filter {
    input filter-name;
    output filter-name;
}
Nota:

Um filtro configurado com a família de protocolos implícitos não pode ser incluído em uma lista de filtros inet de entrada ou em uma lista de filtros de saída.

Nota:

No T4000 Type 5 FPCs, um filtro conectado ao ponto de aplicação de Camada 2 (ou seja, no nível da interface lógica) não consegue combinar com a classe de encaminhamento de um pacote definida por um classificador de Camada 3, como DSCP, DSCP V6 inet-precedence e mpls-exp .

Suporte nos seguintes roteadores:

  • Série T roteadores

  • M320 roteadores

  • M7i roteadores com o CFEB aprimorado (CFEB-e)

  • M10i roteadores com o CFEB-e aprimorado

Também tenho suporte para os seguintes MPCs (Modular Port Concentrators) em roteadores da série MX:

  • Ethernet MPC de 10 Gigabits

  • MPC de 60 Gigabits

  • MPC de enluvamento aprimorado de Ethernet de 60 Gigabits

  • Ethernet MPC de 100 Gigabits

  • Também é suportado em switches da Série EX

filtro de firewall sem estado

Configure no nível [edit firewall family family-name] da hierarquia incluindo a seguinte instrução:

filter filter-name;

As famílias de protocolo podem family-name ser:

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

Família de protocolo em uma interface lógica

Aplique-se [edit interfaces interface-name unit unit-number family family-name] no nível da hierarquia por, incluindo inputinput-list as, ou outputoutput-list declarações:

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

A família de bridge protocolos é suportada apenas em roteadores da série MX.

filtro de firewall sem estado

Mecanismo de Roteamento de loopback

 

Filtro de serviço

Configure no nível [edit firewall family (inet | inet6)] da hierarquia incluindo a seguinte instrução:

service-filter service-filter-name;

Família inet ou em uma interface inet6 lógica

Aplique no nível da hierarquia usando a instrução para aplicar um filtro de serviço como um filtro de entrada ou [edit interfaces interface-name unit unit-number family (inet | inet6)] saída a um conjunto de service-set serviços:

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
} 

Configure um conjunto de serviços no nível [edit services] da hierarquia incluindo a seguinte instrução:

 service-set service-set-name;

Suportado apenas em PICs adaptáveis (AS) e multisserviços (MS).

Filtro de pós-serviço

Configure no nível [edit firewall family (inet | inet6)] da hierarquia incluindo a seguinte instrução:

service-filter service-filter-name;

Família inet ou em uma interface inet6 lógica

Aplique no nível da hierarquia, incluindo a instrução para aplicar um filtro de [edit interfaces interface-name unit unit-number family (inet | inet6)] serviço como um filtro de post-service-filter entrada:

service {
    input {
        post-service-filter filter-name;
    }
}

Um filtro pós-serviço é aplicado ao tráfego que retorna à interface de serviços após o processamento do serviço. O filtro só é aplicado se um conjunto de serviços estiver configurado e selecionado.

Filtro simples

Configure no nível [edit firewall family inet] da hierarquia incluindo a seguinte instrução:

simple-filter filter-name

Família inet em uma interface lógica

Aplique-se ao [edit interfaces interface-name unit unit-number family inet] nível da hierarquia incluindo a seguinte instrução:

simple-filter simple-filter-name;

Filtros simples só podem ser aplicados como filtros de entrada.

Suporte apenas para as seguintes plataformas:

  • PICs inteligentes de Gigabit Ethernet (IQ2) nos M120, M320 e Série T roteadores.

  • Concentradores de porta densa de enqueceramento aprimorados (EQ DPC) em roteadores da Série MX (e switches da Série EX).

Filtro de verificação de encaminhamento reversa de pacotes (RPF)

Configurada no nível [edit firewall family (inet | inet6)] da hierarquia incluindo a seguinte instrução:

filter filter-name; 

Família inet ou em uma interface inet6 lógica

Aplique-se ao [edit interfaces interface-name unit unit-number family (inet | inet6)] nível da hierarquia incluindo a seguinte instrução:

rpf-check fail-filter filter-name

para aplicar o filtro de firewall sem estado como um filtro de verificação RPF.

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

Suportado apenas em roteadores da Série MX e switches da Série EX.